El presente artículo tiene por objeto exponer las implicancias prácticas de la nueva Ley Marco de Ciberseguridad en el sector energético. En particular, resultan relevantes las provisiones que afectarán la gobernanza institucional del sector y la imposición de nuevas obligaciones que recaerán sobre sus actores.
I.- Necesidad de regulación sectorial en materia de ciberseguridad
La imperativa necesidad de regular la ciberseguridad en el sector eléctrico surge en respuesta a la creciente vulnerabilidad ante ciberataques. La interconexión entre sistemas informáticos y operacionales en la infraestructura eléctrica requiere una regulación específica para evitar riesgos significativos, como la interrupción del suministro eléctrico, la exposición de información sensible y la pérdida potencial de control operacional en las instalaciones del sistema.
En caso de concretarse alguno de estos riesgos, las consecuencias son enormes. De acuerdo con el Cost of a Data Breach Report de 2023 de IBM Security, las cifras de pérdidas por la indisponibilidad de los servicios en el sector eléctrico, en 2023, ascendieron a 4.780.000 dólares, es decir, un aproximado de $4.351.090.599 pesos chilenos.
Sin embargo, las consecuencias no son puramente económicas, la amenaza de la estabilidad de servicios críticos tiene un impacto directo para la población en general. El sector energético desempeña un papel esencial en la entrega de servicios fundamentales, desde la iluminación hasta la operación de infraestructuras clave. Por tanto, fortalecer las medidas de ciberseguridad resulta imperativo para preservar la funcionalidad de la sociedad que descansa en la continuidad y seguridad del suministro energético.
II.- Contexto regulatorio actual del sector eléctrico en materia de ciberseguridad
En el panorama regulatorio actual del sector eléctrico, la ciberseguridad ha adquirido una importancia crucial. En julio de 2020, el Coordinador Eléctrico Nacional (en adelante, “CEN”) introdujo el “Estándar de Ciberseguridad de la Información” (en adelante, el “Estándar de Ciberseguridad”), estableciendo requerimientos de estándares internacionales para salvaguardar la integridad de los sistemas eléctricos. En 2021, en respuesta a la creciente importancia de la ciberseguridad, se creó la Unidad de Ciberseguridad e Infraestructura Crítica en el CEN, encabezada por un Encargado CIP y Oficial de Seguridad. En agosto de 2022, se dio otro paso significativo con la formulación de una “Política Integral de Seguridad de la Información, Ciberseguridad e Infraestructura Crítica” por parte del CEN (en adelante, la “Política de Ciberseguridad del CEN”).
Además, actualmente la Comisión Nacional de Energía (en adelante, “CNE”) se encuentra tramitando la “Norma Técnica de Ciberseguridad y Seguridad de la Información” (en adelante, la “Norma Técnica”), cuya elaboración se encuentra dentro de las prioridades del Plan Normativo Anual para el 2024 de la CNE.
III.- El Proyecto
Con fecha 12 de diciembre de 2023, el Congreso Nacional aprobó el proyecto de ley que “Establece una Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información” (en adelante, el “Proyecto”). Este busca crear una nueva institucionalidad y establecer principios y normativas para coordinar y regular las iniciativas de ciberseguridad tanto en organismos estatales como en su interacción con actores privados, así como establecer los requisitos para prevenir, contener, responder y resolver a los distintos incidentes de ciberseguridad y ciberataques que se puedan producir.
IV.- Alcance y Aplicación del Marco Regulatorio Actual
El Proyecto será aplicable a instituciones que proporcionen servicios considerados “esenciales” y a aquellas designadas como “operadores de importancia vital”. Define a los servicios esenciales como los provistos por los Órganos de la Administración del Estado, el CEN, los prestados bajo concesión de servicio público y aquellos proporcionados por instituciones privadas que realicen diversas actividades, dentro de las cuales se encuentra la generación, transmisión o distribución eléctrica.
La calificación de los prestadores de servicios esenciales como operadores de importancia vital se realizará mediante una resolución fundada de la Agencia Nacional de Ciberseguridad (en adelante, “ANCI”), en base a los siguientes criterios: (i) dependencia de redes informáticas; y (ii) el impacto significativo en la seguridad pública, la provisión continua de servicios esenciales, el cumplimiento de funciones estatales o servicios que éste debe proveer o garantizar.
En cuanto a la normativa sectorial, los requerimientos establecidos en el Estándar de Ciberseguridad son vinculantes al CEN y las Empresas Coordinadas, aplicándose específicamente a las instalaciones o activos que caen dentro de las categorías de calificación de impacto definidas en el Estándar de Ciberseguridad.
En cuanto a la Política de Ciberseguridad del CEN, esta abarca a toda la organización del CEN, todos los activos de datos e información y toda la infraestructura crítica del mismo.
V.- Implicancias Prácticas del Proyecto en Materia Energética
El Proyecto contiene una serie de provisiones que afectarán la gobernanza institucional del sector eléctrico en materias de ciberseguridad, así como las obligaciones a las cuales se verán sometidas las diferentes entidades. A continuación, se exponen brevemente los aspectos más importantes del Proyecto y sus implicancias en materia energética, así como su relación con normativa ya vigente.
V.1. En materia institucional:
El Proyecto prevé la creación de instituciones en ciberseguridad, estableciendo directrices para su interacción con organismos sectoriales. Algunos asuntos relevantes de participación de organismos sectoriales son:
- Calificación de operadores de importancia vital: De acuerdo con el Proyecto, la ANCI requerirá informe fundado a los organismos públicos con competencia en materia energética para que se pronuncien sobre aquellas instituciones públicas y privadas que deban calificarse como operadores de importancia vital.
- Coordinación regulatoria: Cuando la ANCI deba emitir normativas que impacten áreas de competencia energética, deberá enviar previamente la información pertinente a las entidades respectivas, solicitando un informe. Asimismo, cuando una autoridad con competencia energética deba emitir actos administrativos generales con impacto en los ámbitos de competencia de la ANCI, deberá enviar la información a la ANCI y solicitar un informe.
- CSIRT de los organismos de la Administración del Estado: CSIRT Nacional prestará colaboración o asesoría técnica a los CSIRT que pertenezcan a organismos de la Administración del Estado en la implementación de políticas y acciones relativas a ciberseguridad.
V.2. En materia de obligaciones para prestadores de servicios esenciales y operadores de importancia vital:
El Proyecto establece una serie de requisitos generales que deben cumplir las entidades obligadas. A continuación, se detallan brevemente estas y se relacionan con las obligaciones ya existentes en el sector:
V.2.i. Deberes generales para prestadores de servicios esenciales y operadores de importancia vital
- Obligación de reportar: El Proyecto establece que todos los servicios esenciales y operadores de importancia vital tendrán la obligación de reportar al CSIRT Nacional dentro de un plazo máximo de 3 horas los ciberataques e incidentes de ciberseguridad que puedan tener efectos significativos, de conformidad con los criterios que establece el Proyecto.
Por su parte, el Estándar de Ciberseguridad establece que todo Incidente de Ciberseguridad Reportable deberá ser notificado, a través del Encargado CIP, al CEN y a la Superintendencia de Electricidad y Combustibles (en adelante, “SEC”) dentro de un plazo aún más exigente, de 1 hora desde su detección.
En cuanto al CEN, la Política de Ciberseguridad del CEN establece la obligación del personal de notificar al Oficial de Seguridad ante cualquier actividad o situación que, a su entender, pueda estar afectando la seguridad de los activos o recursos de información.
Se espera que la Norma Técnica regule las exigencias respecto a los reportes de incidentes a nivel empresas eléctricas y CSIRT sectorial eléctrico. - Medidas para prevenir, reportar y resolver incidentes de ciberseguridad: El Proyecto exige que las instituciones obligadas cumplan con los protocolos y estándares establecidos por la ANCI, así como de los estándares de ciberseguridad exigidos por la regulación sectorial, para prevenir riesgos, así como contener y mitigar el impacto que los incidentes.
Si bien el contenido preciso de estas obligaciones no está cabalmente determinado en el Proyecto, en materia energética, el Estándar de Ciberseguridad fijó estándares Critical Infraestructure Protection (“CIP”) de la North American Electric Reliability Corporation (“NERC”), conocidos como NERC-CIP, exigibles para el sector. En particular, los estándares exigidos son CIP-002, CIP-003, CIP-004, CIP-005, CIP-006, CIP-007, CIP-008, CIP-009, CIP-010, CIP-011, CIP-012, CIP-013 y CIP-014.
Específicamente en lo que respecta al CEN, la Política de Ciberseguridad del CEN también se basa en el Estándar de Ciberseguridad, pero además incluye como referencias complementarias la familia de normas ISO/IEC 27000 y NIST e ISO 22301.
V.2.ii. Deberes específicos para los operadores de importancia vital
El Proyecto establece una serie de obligaciones específicas que deben cumplir los operadores de importancia vital. A continuación, se detallan brevemente estas y se relacionan con las obligaciones ya existentes en el sector:
- Obligación de implementar un sistema de seguridad de la información continuo: El Estándar de Ciberseguridad exige el estándar CIP-003. Este tiene como propósito especificar controles de gestión de la seguridad consistentes y sostenibles para proteger a los ciber sistemas del SEN contra eventos que puedan conducir a su mala operación o inestabilidad.
- Obligación de registro: El Proyecto establece como deber para los operadores de importancia vital el mantener un registro de las acciones ejecutadas que compongan el sistema de gestión de seguridad de la información, de conformidad a lo que señale el reglamento del Proyecto.
Lo anterior se alinea con lo establecido en el Estándar de Ciberseguridad, el cual obliga a las Entidades Responsables a mantener registros de evidencias y medidas de control por un periodo de al menos 3 años, plazo que se podría extender según lo requiera la SEC por existir una investigación en curso de una auditoría. - Obligación de elaborar e implementar planes de continuidad operacional y ciberseguridad: Estos planes deberán certificarse en conformidad al Proyecto y someterse a revisiones periódicas por parte de los sujetos obligados, con una frecuencia mínima de 2 años.
En materia eléctrica, el Estándar de Ciberseguridad exige el estándar CIP-009 para los planes de recuperación. Este establece requerimientos específicos para los planes de recuperación en apoyo a la continua estabilidad, operabilidad y confiabilidad del SEN.
De acuerdo con la Política de Ciberseguridad del CEN, será el CEN quien se encargará de monitorear los planes de acción de los Coordinados en materias de seguridad de la información, de acuerdo con los requerimientos del Estándar de Ciberseguridad. - Obligación de monitoreo e información: El Proyecto exige a los operadores de importancia vital realizar revisiones periódicas de sus sistemas para detectar amenazas cibernéticas y comunicar la información al CSIRT Nacional según el reglamento.
El Estándar de Ciberseguridad establece que las Entidades Responsables deberán monitorear e informar a la SEC, con una frecuencia anual dentro del primer trimestre de cada año y en el formato que esta defina el nivel de cumplimiento de las medidas de control para cada requerimiento. - Obligación de adopción de medidas de reducción de impacto y propagación: El Estándar de Ciberseguridad impone los requerimientos del estándar CIP-008. Este estándar tiene como propósito mitigar los riesgos en la operación segura y confiable del SEN como resultado de un incidente de ciberseguridad, especificando requerimientos de respuesta a incidentes.
- Obligación de cumplir con las certificaciones de ciberseguridad del Proyecto y las que determine la ANCI mediante reglamento: El Estándar de Ciberseguridad viene a complementar lo anterior, estableciendo que la SEC podrá instruir auditorías de cumplimiento y/o certificación por parte de terceros certificados a fin de verificar el cumplimiento del estándar.
- Obligación de información a los potenciales afectados: El Proyecto exige informar a los potenciales afectados sobre la ocurrencia de incidentes o ciberataques que pudieran comprometer gravemente su información o redes y sistemas informáticos en determinados casos.
- Obligación de contar con programas de capacitación, formación y educación continua: Misma exigencia es contenida en el Estándar de Ciberseguridad, el que exige el estándar CIP-002 para el sector eléctrico. En términos generales, los requerimientos de este estándar dicen relación con: capacitación en materias de políticas de ciberseguridad, control de acceso físico, control de acceso electrónico, programa de control de visitas, entre otros.
- Obligación de designar un delegado de ciberseguridad: El estándar CIP-003, exigido por el Estándar de Ciberseguridad, requiere que cada Entidad Responsable identifique un Encargado CIP por su nombre y documentar por escrito cualquier modificación al respecto dentro de 30 días calendario de ocurrido el cambio.
V.2.iii. Infracciones y sanciones
El Proyecto establece una serie de sanciones ante la infracción a las disposiciones de la futura ley. El Proyecto las clasifica en leves, graves y gravísimas, además de establecer infracciones específicas para los operadores de importancia vital.
La autoridad sectorial tendrá competencia para fiscalizar, conocer y sancionar infracciones, así como ejecutar sanciones, de acuerdo con su normativa sobre ciberseguridad cuando sus efectos sean, al menos, equivalentes al de la normativa dictada por la ANCI. La ANCI, por su parte, podrá fiscalizar, conocer y sancionar infracciones, así como ejecutar sanciones, conforme al Proyecto.